メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索

ネームサーバ管理者の方々へ

一般社団法人日本ネットワークインフォメーションセンター

"複数の"DNS実装におけるサービス不能(DoS)脆弱性について(2014年12月)

2014年12月8日(現地時間)、 複数のDNSサーバソフトウェアの実装においてサービス不能(DoS)を引き起こす可能性のある脆弱性が、 各ベンダーからアナウンスされました。

本脆弱性は、DNSキャッシュサーバが、 名前解決時の委任を処理する際に細工されたゾーンの委任情報を受け取ることで、 CPUやネットワーク資源を大量に消費してサービス性能の低下もしくはサービス停止となるものです。

ご参考までに、アナウンスの原文へのリンクを以下に掲載します。 管理者の皆様におかれましては、 ネームサーバソフトウェアのご確認など適切な処置をお願いいたします。

脆弱性の概要

DNSはドメインの情報を複数のゾーンに分割し、 委任と呼ばれる方法でゾーンとゾーンを連携させています。 キャッシュサーバは名前解決を行うときに、 その委任をたどることでドメイン名の情報を得ます。

この委任の処理において、 権威サーバから得られる「次に問い合わせるゾーンについての情報(referral)」の処理が正しく制限されていないDNS実装があり、 そのような実装のキャッシュサーバは、 権威サーバから細工された情報を受け取った場合、 メモリやCPU資源を大量消費する、 もしくは問い合わせパケット数が増大するといった事象が発生します。

影響を受けるバージョン

BIND 9.0.x ~ 9.8.x
9.9.0 ~ 9.9.6
9.10.0 ~ 9.10.1
Unbound 1.5.0 およびそれ以前
PowerDNS 3.6.1 およびそれ以前

脆弱性情報とDNSサーバソフトウェア開発元のアナウンス

解決策

修正済みのバージョンに更新する (設定変更等での回避策はないとされています)

修正されたバージョン

BIND 9.9.6-P1, 9.10.1-P1
Unbound 1.5.1
PowerDNS 3.6.2
※BINDの9.6-ESV および 9.8 は "end of life" となっており、 サポートの対象になっていません。 "end of life"となっているバージョンを利用する組織は最新版への移行が推奨されていますが、 BINDに関しては上述したBINDのアナウンス文をご覧ください。

補足説明

CVE

JPRS

JPCERT/CC

以上

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2019 Japan Network Information Center. All Rights Reserved.